一、木马工作的原理

　　在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

　　既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

　　好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

　　木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。

　　在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

　　在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是explorer.exe，而是“shell=
Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

　　隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

　　上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

　　木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”*作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在下面有详细介绍。